来源：金融电子化

作者：金磐石中国建设银行信息技术管理部总经理

马斯洛需求层次理论提出人除了生理需求，最急切的就是安全需求；如把信息系统视同有生命的对象，那么信息系统除了正常运转需外，最重要的也就是信息的安全，这在信息化最广泛、信息处理规模最大的银行业更为突出。然而，商业银行、尤其是大型商业银行，在线上万台设备、运转上百套应用、二三十万员工频繁操作、日均数亿笔交易、对外日均交换海量数据的情况下，确保信息安全谈何容易。

引入标准、引入遵循业界及国家信息安全标准是人们直接的想法，标准来自实践，是前人摸着石头成功过河的经验提升。然而，具体环境千差万别，知道“标准是什么”是一回事，将标准与一个个具体实践相结合，“用好标准”是另一回事，贯标后管理水平未见提升的也不乏少数。如何实现两者的有机结合，建立适应建设银行的信息安全管理体系，真正有效保护信息资产方面，建设银行进行了有益的探索。

建行从企业级、体系化视角开展信息安全管理顶层设计，吸收借鉴IOS、GB/T、COBIT等业界成熟标准提供的全局思维和最佳实践，并将这些标准的理念、内容整合到实际管理制度和流程中，实现两者有机融合，取得了良好成效。

借力业界成熟标准，务实开展信息安全建设实践

1.认知业界成熟信息安全标准。信息安全无论无意为之或有意攻击，都与人有关。因此，信息安全的核心因素是人，关键在管理，必须通过标准来规范管理组织和人的行为。20世纪90年代中期开始，国际上陆续出台多项信息安全管理标准，如年，英国标准协会（BSI）发布的BS-1:《信息安全管理实施细则》（年被ISO/IEC采纳成为国际标准，进而发展为ISO系列标准）。年六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究院）发布的《信息技术安全性通用评估准则》（简称CC），国际信息系统审计与控制协会（ISACA）发布的OBIT1.0。

年以来，又有一系列标准的发布，信息安全管理标准体系日趋成熟。如年，ISO发布ISO:，ISACA发布COBIT4.0，CC标准被ISO采用后发布更新版本ISO:。年以后，相关标准化组织对这些标准规范进行修订，发布了最新版本，如ISO发布了ISO:，ISACA发布CO-BIT5.0等。

与之同时，我国也加快了国际标准的采标及自主标准制定工作，采用ISO:转为国内的GB/T-《信息技术安全技术信息安全管理体系要求》，采用ISO:转为国内的GB/T-《信息技术安全技术信息安全管理实用规则》，并结合国内实际，自主制定的GB/T-《信息安全技术信息系统安全等级保护基本要求》、GB/T-《信息安全技术信息系统安全等级保护定级指南》、GB/T-《信息安全技术信息系统安全等级保护实施指南》等信息系统安全等级保护标准，用于指导我国信息安全体系建设。

纵观上述各标准体系，ISO因其整体性和可操作性强而得到业界广泛认同，许多国家的政府机构、银行、证券、保险公司、电信运营商均采用该标准来实施自身信息安全管理。ISO：包含信息安全方针、信息安全组织、资产管理等11个领域，39个目标，个控制项，要求组织通过一系列的过程，如确定信息安全管理体系范围，制定信息安全方针策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织实现动态、系统、以预防为主的信息安全管理方式。

2.建行应用业界成熟标准的策略。我行在信息安全能力建设过程中，充分参考业界标准，但不是直接照搬使用，因为经过横向对比和综合分析发现，这些业界成熟标准均有不同的出台背景，不同的国情文化以及不同的适用范围和应用场景，例如ISO源自英国，侧重信息安全管理；CC源自美国，侧重安全技术；COBIT源自美国，侧重于IT审计。企业应用借鉴标准要与企业风险容忍度、管理理念及管控流程想结合。因此，我们对于业界安全标准的应用策略是消化吸收和转化使用。消化吸收是指充分理解这些标准的框架、理念、方法和思路，并灵活运用其构筑我行信息安全管理体系；转化使用是指将我行管理流程与这些标准的具体控制要求进行对照，通过对流程进行优化、重组，将这些控制要求转化为我行信息安全管理的内在控制要求，并形成制度标准正式发布，固化实施，确保信息安全控制要求有效落地。

3.建行应用业界成熟标准的实践成果。经过多年应用实践，我行已初步形成了具有建行特色的企业级信息安全管理体系和信息安全技术体系。其中，信息安全管理体系充分借鉴了IOS、GB/T-等标准；安全技术体系充分借鉴了GB/T-、GB/T-等标准。

（1）在信息安全管理体系建设方面，《中国建设银行信息安全管理办法》（以下简称《办法》）是我行信息安全管理的纲领性文件，明确了我行信息安全的管理政策、目标、范围和原则，指导全行开展信息安全制度建设以及具体管理工作。

《办法》在吸收ISO预防为主、持续改进理念基础上，结合我国国情和我行实际，明确提出“全面管理、预防为主、分级保护、合规审慎”信息安全管理原则。其中：全面管理是指信息安全管理覆盖信息科技管理活动及业务管理活动中所有信息资产，涵盖信息资产全生命周期。预防为主是指信息安全管理采取事前防护，过程控制，持续改进的策略，在信息系统建设中同步进行信息安全建设。分级保护是指根据信息系统重要性确定安全等级，实施差异性保护。合规审慎是指信息安全管理遵守国家法律、法规，遵循监管要求。

在信息安全组织方面，《办法》明确了全行信息安全组织架构，确定了高管层、信息委、技术部门、业务部门的信息安全管理职责，其中：信息技术与流程银行建设委员会（以下简称信息委）是我行信息安全战略和办法的具体组织实施者，对信息安全工作负责。

在信息安全控制领域及控制点方面，《办法》对ISO提出的信息安全管理11个领域，39个目标，进行兼收并蓄，明确了信息资产分类和分级、信息安全体系管理、数据安全管理、开发安全管理、运维安全管理、桌面安全管理、系统网络安全管理、物理安全管理等覆盖银行所有信息科技活动的信息安全控制领域和目标。《办法》从准确定义信息资产、明确保护对象入手，按照信息资产承载业务价值和无形价值、信息资产损失、差错或失效对企业、客户及社会的影响不同，对信息资产进行安全等级分类。在此基础上，甄别各类资产的生命周期，分别制定覆盖全流程的保护措施，实行差别化保护管理，并对每个环节都明确了责任部门和责任人。

为保障《办法》各项信息安全管理要求有效落地，我行配套制定了《中国建设银行信息安全管理办法实施细则》（以下简称《细则》）以及《中国建设银行生产数据应用安全管理规定》、《中国建设银行信息科技工作检查管理办法》、《中国建设银行信息科技风险管理制度重检操作规范》等各专项领域安全管理制度。其中：《细则》参考ISO中个控制项，并统一梳理我行历年规范、通知类文件中信息安全管理要求，按照《办法》的信息安全控制领域细化控制策略，提出具体控制要求，确保务实、可操作。各专项安全管理制度则借鉴COBIT理念，通过建立流程化的方式来约束机构和员工的行为，进而实现安全控制目标，例如《中国建设银行信息科技风险管理制度重检操作规范》规定了每年重检信息安全制度的机制和流程，确保各项信息安全制度内容的及时更新和有效。

（2）在信息安全技术体系建设方面，我行制定了《信息系统安全建设标准体系》（以下简称《标准体系》）。《标准体系》充分借鉴了GB/T-、GB/T-等国家信息系统安全等级保护标准，同时吸收总结了我行信息系统安全建设经验和技术积累。《标准体系》共由六个文件组成，分别是：《中国建设银行信息系统安全保护等级定级标准》、《中国建设银行信息系统安全保护基线》、《中国建设银行信息安全技术管理策略》、《中国建设银行信息安全技术概览》、《中国建设银行信息安全技术应用指南》、《中国建设银行信息安全产品应用指南》，内容涵盖了信息系统安全等级划分、安全需求分析、安全技术实现等各环节的安全技术标准。

在《标准体系》指导下，我行建立了适应新一代信息系统的整体安全架构。该安全架构从IT建设全生命周期信息安全保障入手，通过技术组件固化安全策略要求，采用面向对象服务架构和组件化设计的方法，将安全功能从应用中解耦，设计实现了功能独立、部署灵活、简便易用的标准化安全组件，包括：用户认证、客户认证、信息加解密、密钥管理、安全策略管理、安全审计监控等，可通过参数化配置管理实现灵活安全控制，统一为上层应用系统提供全面安全服务，为全行信息系统建设提供强有力的安全支撑和保障。

建行应用业界成熟标准的心得体会

1.有效融合，固化标准，确保体系的持续改进。在应用业界成熟标准过程中，一定要从深层次全局性理解这些标准理念入手，将这些先进理念应用到银行日常管理实践中去，做到与行内原有架构、流程的有机融合，通过标准进行固化；同时在体系运行过程中，要遵循持续改进（PDCA）的理念，结合内外部环境变化、政策要求、业务变革、产品创新等内容，持续开展差距分析、风险评估、有效性测量等工作，不断纠正存在的偏差，才能确保信息安全管理体系的有效运作，逐步提升信息安全整体保障能力。

2.建立流程，明确要求，强化体系执行效果。操作风险的产生大都源于未严格执行已有制度和标准，即使再先进的管理体系标准，再完善的制度要求，如不能执行落地都将形同虚设。因此，在体系的建立过程中，要针对与最佳实践的差距分析，结合当前的组织架构，选定符合实际的控制措施，建立职责明确的管理流程，确保其可操作性；在体系建立之后，还要强化制度的执行，加大监督检查力度和责任追究，通过持续教育培训引导员工从被动的风险应对变为积极主动的风险防范；同时，还应建立完善信息安全事件管理机制，及时报告、响应、跟踪、分析各类信息安全风险事件，最大限度地降低信息安全风险带来的损失。

3.自上而下，全员参与，建立信息安全文化。信息安全涉及各个条线、各个岗位、各个业务流程。在建立信息安全管理体系过程中，首先要开展顶层设计，明确保护的对象、安全等级分类、差异化安全保护策略等。进而明确各部门及员工的职责，采用自上而下的推进方法，组织和动员全体员工共同参与该项工作。尤其是在资产识别和风险评估阶段，更离不开全体员工的努力。通过有效的教育和培训，逐步建立和发展信息安全管理文化，提高和强化员工的信息保护护的意识与能力。

-----------------你好，我是分割线--------------------------------------------

新金融俱乐部（），用心、贴心、有温度！分享金融业科技创新、金融业商业模式创新、互联网金融等热点话题，近距离感知新金融领域的新锐思想、前沿理论和最佳实践。

投稿邮箱：nfclub